Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:dfnpki:tcs:2025:caa [2025/06/24 15:02] – angelegt Juergen Brauckmannde:dfnpki:tcs:2025:caa [2026/02/03 18:30] (aktuell) Juergen Brauckmann
Zeile 3: Zeile 3:
 Wie jede Public-Trust PKI unterstützt auch HARICA CAA-Records. Wie jede Public-Trust PKI unterstützt auch HARICA CAA-Records.
  
-**Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung. CAA-Records sind eine zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden.+**Wichtig:** Wenn keinerlei CAA-Records im DNS gesetzt sind, funktioniert der Zertifikatbezug ohne jede Einschränkung.  
 + 
 +CAA-Records sind eine optionale zusätzliche Maßnahme für Einrichtungen, die sich bewusst dafür entscheiden, die Ausstellung von Zertifikaten von öffentlich vertrauten PKIs (public Web-PKI) auf bestimmte Zertifizierungsstellen einzuschränken oder ganz zu verbieten.
  
 === harica.gr === === harica.gr ===
  
-Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für HARICA den Wert ''harica.gr''+Wenn Sie CAA-Records im DNS setzen möchten, um die Ausstellung von Zertifikaten auf bestimmte CAs einzuschränken, verwenden Sie für HARICA den Wert ''harica.gr''. HARICA beachtet CAA-Records vom Typ ''issue'' für Serverzertifikate allgemein, ''issuewild'' für die spezielle Kontrolle von Wildcard-Serverzertifikaten und ''issuemail'' für S/MIME-Zertifkate, sofern diese denn jeweils für eine Domain gesetzt sind.
  
 Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden. Für alle aktuell unter GÉANT TCS ausgestellte Zertifikate ist ausschließlich der Wert ''harica.gr'' notwendig, sofern denn CAA-Records gesetzt sind. Vormals für GÉANT TCS genutzte andere Werte können entfernt werden.
  
-Beispiel:+**Beispiel** für alle Serverzertifikate ohne gesonderte Behandlung von Wildcard-Zertifikaten:
  
 <code> <code>
Zeile 17: Zeile 19:
 muster-uni.de.       IN    CAA    0 issue "pki.dfn.de" muster-uni.de.       IN    CAA    0 issue "pki.dfn.de"
 </code> </code>
 +
 +**Beispiel** für S/MIME-Zertifikate:
 +
 +<code>
 +muster-uni.de.       IN    CAA    0 issuemail "harica.gr"
 +</code>
 +
 +=== Auswertung von CAA-Records bei Subdomains ===
 +
 +CAA-Records werden "von links nach rechts" abgefragt. Die CA prüft zunächst, ob im DNS ein CAA-Record beim vollständigen FQDN vorliegt. Falls nein, wird iterativ von links ein Label vom Namen entfernt, und dieser neue Name auf Vorhandensein eines CAA-Records geprüft. 
 +Z.B.:
 +<code>
 +www.sub.example.org
 +sub.example.org
 +example.org
 +org
 +</code>
 +
 +Der ersten gefundene CAA-Record wird verwendet, und es wird nicht weiter gesucht. 
 +
 +Dies bedeutet: Ein CAA-Record auf Ebene der Second-Level-Domain kann durch darunterliegende Ebenen überschrieben werden!
  
 === CNAMEs und CAA-Records === === CNAMEs und CAA-Records ===
Zeile 26: Zeile 49:
  
 muster-uni.de.       IN    CAA    0 issue "harica.gr" muster-uni.de.       IN    CAA    0 issue "harica.gr"
 +muster-uni.de.       IN    CAA    0 issuemail "harica.gr"
 muster-uni.de.       IN    CAA    0 issue "pki.dfn.de" muster-uni.de.       IN    CAA    0 issue "pki.dfn.de"
 </code> </code>
  
  • Zuletzt geändert: vor 8 Monaten